roedel 0 Report post Posted September 12, 2006 Hallo Leute, offensichtlich hat es jemand geschafft mein board 1,3 final zu verseuchen. das problem: kommt jemand mit dem ie auf meine board index.php seite, kommt eine cookiabfrage von www.zchxsikpgz.biz sieht eigentlich wie ne apache startseite aus. nun kommts: gleichzeitig wird wohl von der genannten seite aus dem folder /dl/ (no permissions) ein trojaner oder so auf den lokalen rechner des besuchers gezogen (son blödes onload ding) und einige wirre scripte werden ausgeführt, die den lokalen rechner verseuchen. aus sicherheitsgründen habe ich die indexseite meines forum umbenannt, weil ich ja nicht der dumme sein möchte, der alle rechner schrotet. ich hatte auch bereits das forum gelöscht und die sicherheitskopie hochgeladen - ohne erfolg. es scheint wohl in der db zu sein, die ich natürlich nicht mehr als sicherung habe. kann mir jemand helfen mein board wieder zu reparieren oder muss ich nun wieder alles neu machen und bei null anfangen? die umbenannte startseite meines verseuchten boardes findet ihr unter www.roedelonline.de/_forum/index2.php geht aber nicht mit einem ungeschützten rechner da drauf. ich kann für eventuelle schäden nämlich nicht haften. ich teste das bei mir mit einem pc auf dem ich einen hdguard laufen habe. es wäre super wenn hier jemand helfen könnte. gruß roedel Share this post Link to post
roedel 0 Report post Posted September 12, 2006 Hallo Leute, ich habe den fehler nun wohl doch noch selbst gefunden: unter acp-home - skins & templates -- board wrapper hatte der hacker?! eine codezeile eingefügt bzw ein iframe erstellt: iframe src=http://zch....../dl/adv512.php with=1 height=1 code ist ein wenig abgewandelt, ihr wisst schon. habe sua meinen skins - wrapper die zeilen gelöscht und nu scheint erst ma wieder alles ok zu sein. wie kann ich künftig solche sachen vermeiden? wo liegt die sicherheitslücke? danke und gruß roedel Share this post Link to post
smurf 0 Report post Posted September 12, 2006 IPB supportet 1.3 nicht mehr. Share this post Link to post
MacTV 0 Report post Posted September 13, 2006 (edited) Ich weiss echt nicht warum Ihr nicht mal die Suche benutzt ... langsam nervt es... > Gehackt, Board Wrapper geändert > gehackt was dagegen tun? > LESEN | Hackmonat Mai Des Weiteren gibt es auf www.ibforen.de die Sicherheitspatche Security Fixes, Updates And Enhancements For IPB 1.3.1 und außerdem gibt es dort auch das neue ANTI-SPAM-MOD. Edited September 13, 2006 by MacTV Share this post Link to post
zer0 0 Report post Posted September 13, 2006 du solltest trotzdem mal auf ibforen.de vorbeischauen und die die patches (den patch) runterladen und installen! nicht das sowas nochmal passiert! evtl. auch die admin.php per htaccess scützn... gruss Share this post Link to post
roedel 0 Report post Posted September 13, 2006 Ich weiss echt nicht warum Ihr nicht mal die Suche benutzt ... langsam nervt es... > Gehackt, Board Wrapper geändert > gehackt was dagegen tun? > LESEN | Hackmonat Mai Des Weiteren gibt es auf www.ibforen.de die Sicherheitspatche Security Fixes, Updates And Enhancements For IPB 1.3.1 und außerdem gibt es dort auch das neue ANTI-SPAM-MOD. Hallo, danke für die schnelle antwort. auch wenn sich das blöd anhört, ich hatte gesucht, aber wohl die falschen begriffe verwendet und als ich den post eröffnet hatte, wusste ich ja noch nicht das es der wrapper war, das hab ich erst danach entdeckt. tut mir echt leid! roedel Share this post Link to post
roedel 0 Report post Posted September 13, 2006 du solltest trotzdem mal auf ibforen.de vorbeischauen und die die patches (den patch) runterladen und installen! nicht das sowas nochmal passiert! evtl. auch die admin.php per htaccess scützn... gruss Hallo zer0, habe erst mal die admin.php von meinem server genommen und werde dann wohl erst mal versuchen die ganzen patche zu installieren. mal schauen ob ich damit auch klar komme. ist schon richtig ärgerlich, das manche leute so viel spass am hacken haben. für so leien wie mich ist das dann schon ein riesen problem. gruß, roedel Share this post Link to post
Modula 0 Report post Posted September 14, 2006 Das entfernen der admin.php schützt dich zwar davor, dass jemand über die ACP Funktionen des IPBs eindringt - leider aber nicht vor rootkits, die sich z.T. durch die Uploadfunktion hochladen lassen. Ich würde dir dringend dazu Raten die Updates zu installieren. Das geht mit Peters ModInstaller (ebenfalls auf ibforen.de erhältlich) ganz leicht. Als Gast hast du hierüber dort die wichtigsten Mods zur Auswahl. Share this post Link to post
roedel 0 Report post Posted September 15, 2006 Das entfernen der admin.php schützt dich zwar davor, dass jemand über die ACP Funktionen des IPBs eindringt - leider aber nicht vor rootkits, die sich z.T. durch die Uploadfunktion hochladen lassen. Ich würde dir dringend dazu Raten die Updates zu installieren. Das geht mit Peters ModInstaller (ebenfalls auf ibforen.de erhältlich) ganz leicht. Als Gast hast du hierüber dort die wichtigsten Mods zur Auswahl. Hallo Modula, danke für den link. hab mir schon mal alles runtergeladen, so das ich mich morgen frisch ans werk begeben kann. hoffe dann is erst mal einigermassen ruhe. gruß, roedel Share this post Link to post